EU:s dataskyddsförordning och utbildningsområdet

Relevanta dokument
EU:s dataskyddsförordning och utbildningsområdet (SOU 2017:49)

EU:s dataskyddsförordning och utbildningsväsendet (SOU 2017:49) Remiss från Utbildningsdepartementet Remisstid den 15 september 2017

Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning. Sammanfattning. Betänkande av Dataskyddsutredningen.

Betänkandet EU:s dataskyddsförordning och utbildningsområdet (SOU 2017:49)

Behandling av personuppgifter på utbildningsområdet

Eva Lenberg (Utbildningsdepartementet) Lagrådsremissens huvudsakliga innehåll

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Regeringens proposition 2017/18:218

Datainspektionen lämnar följande synpunkter.

GDPR. Ulrika Harnesk 17 oktober 2018

Förslag om dataskyddsbestämmelser som komplettering till propositionen Ny ordning för att främja god sed och hantera oredlighet i forskning

Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning

Ändringar i vissa författningar inom Finansdepartementets ansvarsområde med anledning av EU:s dataskyddsreform

Utdrag ur protokoll vid sammanträde Behandling av personuppgifter på utbildningsområdet

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Svensk författningssamling

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde

Anpassning till EU:s dataskyddsförordning av lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar

Kommittédirektiv. Tilläggsdirektiv till Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14) Dir.

Svensk författningssamling

Svensk författningssamling

Finansdepartementet. EU:s dataskyddsförordning: Anpassade regler om personuppgiftsbehandling inom skatt, tull och exekution

Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39)

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter vid antidopningsarbete inom idrotten. Dir. 2018:31

En anpassning till dataskyddsförordningen av författningar inom Miljö- och energidepartementets verksamhetsområde. Ds 2017:54

Anpassning till den allmänna dataskyddsförordningen av lagen (1996:810) om registrering av riksdagsledamöters åtaganden och ekonomiska intressen m.m.

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning. Lars Hedengran (Socialdepartementet)

Anpassning av lagen om passagerarregister till EU:s dataskyddsreform. Ds 2018:12

Skyldigheten att lämna registerutdrag blir mindre betungande

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Statistik på upphandlingsområdet

Svensk författningssamling

Leena Mildenberger (Finansdepartementet) Lagrådsremissens huvudsakliga innehåll

Personuppgiftslagen baseras på det s.k. dataskyddsdirektivet (95/46/EG). Inom EU har det beslutats att detta direktiv ska ersättas av

Svensk författningssamling

LAGEN.NU. Lag (2003:763) om behandling av personuppgifter inom socialförsäkrin... administration. Nyheter Lagar Domar Begrepp

6 Yttrande över betänkandet Totalförsvarsdatalag Rekryteringsmyndighete ns personuppgiftsbehandlin g (SOU 2017:97) LS

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning

Förstärkt rehabilitering för återgång i arbete

Regeringens proposition 2017/18:95

EU:s dataskyddsförordning och lagstiftningen inom Näringsdepartementets ansvarsområden

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

EU:s dataskyddsförordning, dataskyddslagen och myndigheters arkiv

PUL OCH DATASKYDDSFÖRORDNINGEN

Förslag till ny dataskyddsförordning och dess konsekvenser för registerbaserad forskning

Regeringens proposition 2017/18:112

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Behandling av personuppgifter för forskningsändamål. Eva Lenberg (Utbildningsdepartementet) Lagrådsremissens huvudsakliga innehåll

Regeringens proposition 2017/18:107

Allmänna handlingar i elektronisk form

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Eskil Nord och Lena Moore samt justitierådet Dag Mattsson

Kommittédirektiv. Personuppgiftsbehandling inom den arbetsmarknadspolitiska verksamheten och i tillsynsverksamheten över denna. Dir.

Anpassningar av registerförfattningar på arbetsmarknadsområdet. Susanne Södersten (Arbetsmarknadsdepartementet)

Ändringar i vissa författningar inom Finansdepartementets ansvarsområde med anledning av EU:s dataskyddsreform

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Svensk författningssamling

Utdrag ur protokoll vid sammanträde

Personuppgiftsbehandling för forskningsändamål

EU:s dataskyddsreform anpassningar av vissa författningar om allmän ordning och säkerhet

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Svensk författningssamling

Svensk författningssamling

Stockholm den 14 september 2017


Kommittédirektiv. Personuppgiftsbehandling för forskningsändamål. Dir. 2016:65. Beslut vid regeringssammanträde den 7 juli 2016

Eva Lenberg (Utbildningsdepartementet) Lagrådsremissens huvudsakliga innehåll

Personuppgiftsförordning (1998:1191)

Rätt till utbildning i förskoleklass för barn till beskickningsmedlemmar från tredjeland

Regeringens proposition 2017/18:133

Finansdepartementet Avdelningen för offentlig förvaltning Föreskriftsrätt för Lantmäteriet enligt förordningen om lägenhetsregister Maj

Yttrande över betänkandet Utbildning för elever i samhällsvård och fjärr- och distansundervisning (SOU 2012:76)

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

Svensk författningssamling

SOU 2015:84 Organdonation En livsviktig verksamhet

Kommittédirektiv. Genomförande av EU:s direktiv om skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet

Kriminalvårdens datalag

Anpassningar av registerförfattningar på. på arbetsmarknadsområdet till EU:s dataskyddsförordning.

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Anders Eka

Utkast till lagrådsremissen Vägtrafikdatalag

Remiss från Justitiedepartementet - Ny dataskyddslag (SOU 2017:39)

Kommittédirektiv. Förutsättningar för registerbaserad forskning. Dir. 2013:8. Beslut vid regeringssammanträde den 17 januari 2013.

Skatte- och tullavdelningen. Skyldighet för allmänna domstolar att lämna uppgifter om domar och beslut i brottmål till Skatteverket i vissa fall

Forska tillsammans. samverkan för lärande och förbättring. Betänkande av Utredningen om praktiknära skolforskning i samverkan.

Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing

Snabbare lagföring (Ds 2018:9)

En omarbetad utlänningsdatalag

Personuppgiftsförordning (1998:1191)

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Lag (2001:185) om behandling av uppgifter i Tullverkets verksamhet

Regeringens proposition 2017/18:254

Ökad insyn i välfärden

Totalförsvarsdatalag. Rekryteringsmyndighetens personuppgiftsbehandling. Betänkande av Totalförsvarsdatautredningen. Stockholm 2017 SOU 2017:97

Anpassning av lagen om passagerarregister till EU:s dataskyddsreform. Linda Rantén (Justitiedepartementet) Lagrådsremissens huvudsakliga innehåll

Transkript:

Korrektur EU:s dataskyddsförordning och utbildningsområdet Betänkande av Utbildningsdatautredningen Stockholm 2017 SOU 2017:49

SOU och Ds kan köpas från Wolters Kluwers kundservice. Beställningsadress: Wolters Kluwers kundservice, 106 47 Stockholm Ordertelefon: 08-598 191 90 E-post: kundservice@wolterskluwer.se Webbplats: wolterskluwer.se/offentligapublikationer För remissutsändningar av SOU och Ds svarar Wolters Kluwer Sverige AB på uppdrag av Regeringskansliets förvaltningsavdelning. Svara på remiss hur och varför Statsrådsberedningen, SB PM 2003:2 (reviderad 2009-05-02). En kort handledning för dem som ska svara på remiss. Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remisser Layout: Kommittéservice, Regeringskansliet Omslag: Elanders Sverige AB Tryck: Elanders Sverige AB, Stockholm 2017 ISBN 978-91-38-24622-1 ISSN 0375-250X

Till statsrådet och chefen för Utbildningsdepartementet Regeringen beslutade den 30 juni 2016 att tillkalla en särskild utredare med uppdrag att föreslå kompletterande regleringar för behandling av personuppgifter inom utbildningsområdet, med undantag för forskningsverksamhet (dir. 2016:63). Till särskild utredare förordnades samma dag chefsjuristen vid Pensionsmyndigheten Mikael Westberg. Som sakkunnig i utredningen förordnades den 26 september 2016 kanslirådet vid Utbildningsdepartementet Tyri Öhman. Som experter att biträda utredningen förordnades den 26 september 2016 ämnesrådet vid Utbildningsdepartementet Anna Barklund, juristen vid Myndigheten för yrkeshögskolan Anna Berg, enhetschefen vid Luleå tekniska universitet Jenny Blom, departementssekreteraren vid Utbildningsdepartementet Andreas Bokerud, förbundsjuristen vid Friskolornas riksförbund Mariette Dennholt, chefsjuristen vid Specialpedagogiska skolmyndigheten Ulrika Ehlin, departementssekreteraren vid Utbildningsdepartementet Hedvig Feltelius, juristen vid Statens skolverk Anna Grebäck, juristen vid Datainspektionen Ulrika Harnesk, chefsjuristen vid Universitetsoch högskolerådet Drazenko Jozic, verksjuristen vid Centrala studiestödsnämnden Johan Lindeberg, förbundsjuristen vid Sveriges Kommuner och Landsting Kristina Söderberg och handläggaren vid Folkbildningsrådet Tomas Östlund. Andreas Bokerud entledigades från sitt uppdrag den 24 januari 2017 och departementssekreteraren vid Utbildningsdepartementet Per Anders Nilsson Strandberg utsågs samma dag i hans ställe. Som sekreterare anställdes den 1 juli 2016 juristen vid Pensionsmyndigheten Anne-Therése Byström, numera Zetterström, och den 24 augusti 2016 kammarrättsassessorn Tommy Fraenkel.

Utredningen, som har tagit sig namnet Utbildningsdatautredningen, överlämnar härmed betänkandet EU:s dataskyddsförordning och utbildningsområdet (SOU 2017:49). Till betänkandet har fogats ett särskilt yttrande av experten Ulrika Harnesk. Uppdraget är härmed slutfört. Stockholm i juni 2017 Mikael Westberg / Anne-Therése Zetterström Tommy Fraenkel

Innehåll Förkortningar... 13 Sammanfattning... 17 1 Författningsförslag... 33 1.1 Förslag till lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina... 33 1.2 Förslag till lag om ändring i lagen (2009:128) om yrkeshögskolan... 35 1.3 Förslag till lag om ändring i studiestödsdatalagen (2009:287)... 37 1.4 Förslag till lag om ändring i skollagen (2010:800)... 42 1.5 Förslag till förordning om sökbegränsningar vid personuppgiftsbehandling i vissa utbildningsformer och i hemkommunen... 46 1.6 Förslag till förordning om ändring i förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor... 47 1.7 Förslag till förordning om ändring i förordningen (2006:39) om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar... 50 1.8 Förslag till förordning om ändring i studiestödsdataförordningen (2009:321)... 52 5

Innehåll SOU 2017:49 1.9 Förslag till förordning om ändring i förordningen (2011:268) om lärar- och förskollärarregister... 53 1.10 Förslag till förordning om ändring i förordningen (2012:811) med instruktion för Universitets- och högskolerådet... 56 1.11 Förslag till förordning om ändring i förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar... 57 2 Utredningens uppdrag och arbete... 61 2.1 Uppdraget... 61 2.2 Avgränsning... 61 2.3 Utredningsarbetet... 63 3 Bakgrund... 65 3.1 Dataskydd i allmänhet... 65 3.2 Dataskydd i svensk rätt... 66 3.2.1 Regeringsformen... 66 3.2.2 Dataskyddsdirektivets genomförande... 66 3.3 EU:s dataskyddsförordning... 67 3.4 Utgångspunkten är Dataskyddsutredningens förslag... 68 3.4.1 Dataskyddsutredningens förslag i korthet... 68 4 Skollagsreglerad utbildningsverksamhet... 77 4.1 Allmänt... 77 4.1.1 Skolväsendet för barn och unga... 79 4.1.2 Särskilda utbildningsformer för barn och ungdomar enligt 24 kap. skollagen... 86 4.1.3 Annan pedagogisk verksamhet enligt 25 kap. skollagen... 89 4.1.4 Skolväsendet för vuxna... 90 4.1.5 Särskilda utbildningsformer för vuxna enligt 24 kap. skollagen... 92 4.1.6 Entreprenad... 93 6

SOU 2017:49 Innehåll 4.2 Utredningen om offentlighet och sekretess i skolans syn på skolans personuppgiftsbehandling... 95 4.3 Skydd för uppgifter om barn yttrande av artikel 29- gruppen... 98 4.4 It-användning inom skolväsendet... 101 4.5 Personuppgiftsbehandling inom skolväsendet... 103 4.6 Rättslig grund för personuppgiftsbehandling... 107 4.6.1 Utredningens uppdrag i denna del... 107 4.6.2 Uppgift av allmänt intresse... 111 4.6.3 Myndighetsutövning... 130 4.6.4 Rättslig förpliktelse... 132 4.6.5 Intresseavvägning... 134 4.6.6 Samtycke... 135 4.6.7 Sammanfattning... 138 4.7 Känsliga personuppgifter... 139 4.7.1 Utredningens uppdrag i denna del... 139 4.7.2 Behov av att behandla känsliga personuppgifter... 139 4.7.3 Gällande bestämmelser... 143 4.7.4 Dataskyddsförordningen och dataskyddslagen... 143 4.7.5 Behov av särskild reglering... 145 4.8 Personuppgifter som rör lagöverträdelser... 170 4.8.1 Utredningens uppdrag i denna del... 170 4.8.2 Gällande bestämmelser... 170 4.8.3 Dataskyddsförordningen och dataskyddslagen... 171 4.8.4 Behov av särskild reglering... 172 4.9 Behov av ytterligare reglering... 176 4.10 Uppförandekod för skolväsendet... 187 5 Universitets- och högskolesektorn... 189 5.1 Allmänt... 189 5.2 Högskolornas personuppgiftsbehandling... 191 5.3 Rättslig grund för personuppgiftsbehandling... 196 7

Innehåll SOU 2017:49 5.3.1 Utredningens uppdrag i denna del... 196 5.3.2 Uppgift av allmänt intresse... 199 5.3.3 Myndighetsutövning... 212 5.3.4 Rättslig förpliktelse... 215 5.3.5 Intresseavvägning... 218 5.3.6 Samtycke... 219 5.3.7 Sammanfattning... 221 5.4 Känsliga personuppgifter och uppgifter som rör lagöverträdelser... 222 5.4.1 Utredningens uppdrag i denna del... 222 5.4.2 Behov av att behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål... 222 5.4.3 Gällande bestämmelser... 230 5.4.4 Dataskyddsförordningen och dataskyddslagen.. 232 5.4.5 Behov av särskild reglering... 235 5.5 Behov av ytterligare reglering... 249 5.6 Förordningen om redovisning av studier m.m. vid universitet och högskolor... 253 5.6.1 Utredningens uppdrag i denna del... 253 5.6.2 Rättslig grund för personuppgiftsbehandling... 254 5.6.3 Behov av ändringar med anledning av dataskyddsförordningen... 259 5.6.4 Behov av översyn utifrån andra skäl än dataskyddsförordningen... 282 6 Yrkeshögskolan och andra eftergymnasiala utbildningar... 285 6.1 Allmänt... 285 6.2 Utbildningsanordnarnas behandling av personuppgifter... 287 6.2.1 Yrkeshögskolan... 288 6.2.2 Konst- och kulturutbildningar och vissa andra utbildningar... 290 6.3 Rättslig grund för personuppgiftsbehandling... 291 6.3.1 Utredningens uppdrag i denna del... 291 6.3.2 Uppgift av allmänt intresse... 293 8

SOU 2017:49 Innehåll 6.3.3 Myndighetsutövning... 305 6.3.4 Rättslig förpliktelse... 308 6.3.5 Intresseavvägning... 310 6.3.6 Samtycke... 311 6.3.7 Sammanfattning... 313 6.4 Känsliga personuppgifter och uppgifter som rör lagöverträdelser... 314 6.4.1 Utredningens uppdrag i denna del... 314 6.4.2 Behov av att behandla känsliga personuppgifter och uppgifter som rör fällande domar i brottmål... 315 6.4.3 Gällande bestämmelser... 320 6.4.4 Dataskyddsförordningen och dataskyddslagen... 321 6.4.5 Behov av särskild reglering... 324 6.5 Behov av ytterligare reglering... 338 6.6 MYH:s register... 341 6.6.1 Utredningens uppdrag i denna del... 341 6.6.2 MYH:s register över studerande i yrkeshögskolan... 342 6.6.3 MYH:s register över studerande i konst- och kulturutbildningar och vissa andra utbildningar... 345 7 Folkbildning... 349 7.1 Folkhögskolorna... 349 7.1.1 Allmänt... 349 7.1.2 Behandling av personuppgifter inom folkhögskolorna... 350 7.1.3 Utredningens uppdrag i denna del... 351 7.1.4 Rättslig grund för personuppgiftsbehandling... 352 7.1.5 Känsliga personuppgifter... 357 7.1.6 Behov av reglering i övrigt... 359 7.2 Studieförbunden... 360 7.2.1 Allmänt... 360 7.2.2 Behandling av personuppgifter inom studieförbunden... 362 9

Innehåll SOU 2017:49 7.2.3 Utredningens uppdrag i denna del... 362 7.2.4 Rättslig grund för personuppgiftsbehandling... 364 7.2.5 Känsliga personuppgifter... 366 7.2.6 Behov av reglering i övrigt... 368 7.3 Register över deltagare i studieförbundens verksamhet... 368 7.3.1 Allmänt... 368 7.3.2 Utredningens uppdrag i denna del... 371 7.3.3 Behov av reglering... 372 8 CSN:s studiestödsverksamhet... 381 8.1 Utredningens uppdrag i denna del... 381 8.2 Rättslig grund för personuppgiftsbehandling... 381 8.3 Behov av ändringar i studiestödsdatalagen... 385 8.4 Behov av ändringar i studiestödsdataförordningen... 403 9 Betygsdatabasen BEDA... 411 9.1 Allmänt... 411 9.2 Utredningens uppdrag i denna del... 412 9.3 Behov av särskild reglering... 413 9.3.1 Behandlingar av personuppgifter i BEDA... 413 9.3.2 Skolhuvudmännens utlämnande av uppgifter... 413 9.3.3 Registrering i BEDA, utlämnande till SCB och lagring... 416 9.3.4 Överföring av uppgifter till antagningssystemet NyA... 418 9.3.5 Utlämnande av uppgifter till kommuner... 420 9.4 Behov av ytterligare reglering... 421 10

SOU 2017:49 Innehåll 10 Lärar- och förskollärarregistret... 425 10.1 Allmänt... 425 10.2 Utredningens uppdrag i denna del... 426 10.3 Rättslig grund för personuppgiftsbehandling... 426 10.4 Behov av ändringar... 430 11 Kommunernas register över ungdomar som de har aktivitetsansvar för... 447 11.1 Allmänt... 447 11.2 Utredningens uppdrag i denna del... 448 11.3 Rättslig grund för personuppgiftsbehandling... 448 11.4 Behov av ändringar... 452 12 Övriga myndigheter med anknytning till utbildningsområdet... 465 12.1 Utredningens uppdrag... 465 12.2 Utredningens bedömning... 466 13 Konsekvenser... 471 13.1 Utredningens uppdrag... 471 13.2 Problembeskrivning... 472 13.3 Utredningens förslag till nya eller ändrade regler... 473 13.4 Ekonomiska konsekvenser... 475 13.4.1 Konsekvenser för staten, kommuner och landsting... 475 13.4.2 Konsekvenser för enskilda huvudmän som anordnar utbildningsverksamhet... 476 13.5 Konsekvenser för den personliga integriteten... 479 13.6 Konsekvenser i övrigt... 479 11

Innehåll SOU 2017:49 14 Ikraftträdande och övergångsbestämmelser... 481 14.1 Ikraftträdande... 481 14.2 Övergångsbestämmelser... 482 15 Författningskommentar... 485 15.1 Förslaget till lag om ändring i lagen (1993:792) om tillstånd att utfärda vissa examina... 485 15.2 Förslaget till lag om ändring i lagen om yrkeshögskolan (2009:128)... 489 15.3 Förslaget till lag om ändring i studiestödsdatalagen (2009:287)... 493 15.4 Förslaget till lag om ändring i skollagen (2010:800)... 496 Särskilt yttrande... 507 Bilaga Kommittédirektiv 2016:63... 513 12

Förkortningar Artikel 29-gruppen BEDA CSN dataskyddsdirektivet dataskyddsförordningen dataskyddslagen Artikel 29-arbetsgruppen för skydd av personuppgifter nationell databas för betygsuppgifter från gymnasieskolan och kommunal vuxenutbildning på gymnasial nivå Centrala studiestödsnämnden Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) Dataskyddsutredningens förslag till lag (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning 13

Förkortningar SOU 2017:49 DIFS dir. EES EU EU-domstolen Datainspektionens författningssamling direktiv Europeiska ekonomiska samarbetsområdet Europeiska unionen Europeiska unionens domstol/ Europeiska gemenskapernas domstol f. följande sida/sidor FBR kommissionen MYH MYHFS OSL prop. PUF Folkbildningsrådet Europeiska kommissionen Myndigheten för yrkeshögskolan Myndigheten för yrkeshögskolans författningssamling offentlighets- och sekretesslagen (2009:400) regeringens proposition personuppgiftsförordningen (1998:1191) PUL personuppgiftslagen (1998:204) SCB SiS SKOLFS Statistiska centralbyrån Statens institutionsstyrelse Skolverkets författningssamling 14

SOU 2017:49 Förkortningar Skolinspektionen Skolverket SOU UHR UHRFS UKÄ VHS Statens skolinspektion Statens skolverk Statens offentliga utredningar Universitets- och högskolerådet Universitets- och högskolerådets författningssamling Universitetskanslersämbetet Verket för högskoleservice 15

Sammanfattning Utredningens uppdrag Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Utredningen har i detta betänkande valt att benämna den nya rättsakten dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna och ska börja tillämpas den 25 maj 2018. Genom dataskyddsförordningen upphävs Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet), vilket innebär att personuppgiftslagen (1998:204, PUL) måste upphävas. En särskild utredare fick den 25 februari 2016 regeringens uppdrag att lämna förslag till upphävande av den nuvarande generella personuppgiftsregleringen (dir. 2016:15). Utredningen, som tog sig namnet Dataskyddsutredningen (Ju 2016:04), fick även i uppdrag att analysera om det behövs kompletterande bestämmelser som ger ett generellt stöd för myndigheters och andra organs behandling av personuppgifter. I Dataskyddsutredningens uppdrag ingick också bl.a. att överväga vilka kompletterande bestämmelser om undantag från förbudet att behandla känsliga personuppgifter som bör finnas i den generella regleringen. I Dataskyddsutredningens uppdrag ingick dock inte att se över eller lämna förslag till förändringar av sådan sektorsspecifik reglering om behandling av personuppgifter som finns i bl.a. särskilda registerförfattningar. Utredningen har fått i uppdrag att föreslå kompletterande regleringar för behandling av personuppgifter inom utbildningsområdet, 17

Sammanfattning SOU 2017:49 med undantag för forskningsverksamhet. Syftet är att regleringen ska möjliggöra en ändamålsenlig behandling av personuppgifter inom utbildningsområdet samtidigt som den ska skydda den enskildes frioch rättigheter. I utredningens uppdrag ingår att undersöka vilken reglering på nationell nivå av personuppgiftsbehandling inom utbildningsområdet som är möjlig och kan behövas utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå. Uppdraget omfattar även att analysera om det utöver dataskyddsförordningen och den generella reglering som Dataskyddsutredningen kommer att föreslå finns ett behov av kompletterande regleringar för behandling av känsliga personuppgifter inom utbildningsområdet. I utredningens uppdrag ingår vidare att se över vilka anpassningar av studiestödsdatalagen (2009:287), studiestödsdataförordningen (2009:321), förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor, förordningen (2011:268) om lärar- och förskollärarregister och förordningen (2006:39) om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar som behövs med anledning av dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag som utredningen kan komma att lämna. Slutligen ingår det även i utredningens uppdrag att analysera om det behövs något författningsstöd utöver dataskyddsförordningen, den generella reglering som Dataskyddsutredningen kommer att föreslå och de övriga förslag utredningen kan komma att lämna för att personuppgifter även fortsättningsvis ska kunna behandlas i betygsdatabasen BEDA, i de register som Myndigheten för yrkeshögskolan (MYH) svarar för samt i registret över deltagare i studiecirklar och annan folkbildningsverksamhet hos studieförbunden. Skollagsreglerad utbildningsverksamhet Utredningen bedömer att det för huvudmän inom skolväsendet och aktörer enligt 24 och 25 kap. skollagen (2010:800) finns en i svensk rätt fastställd uppgift av allmänt intresse att tillhandahålla, anordna och bedriva utbildning och annan pedagogisk verksamhet. Även en 18

SOU 2017:49 Sammanfattning kommuns åligganden enligt skollagen är en i svensk rätt fastställd uppgift av allmänt intresse. För sådan personuppgiftsbehandling som är nödvändig för utförandet av dessa uppgifter är den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen tillämplig. Därutöver kan dessa organ i viss utsträckning samtidigt använda sig av de rättsliga grunderna i artikel 6.1 c (rättslig förpliktelse) och andra ledet i 6.1 e (myndighetsutövning). Dessa kan även i viss utsträckning använda sig av samtycke som rättslig grund (artikel 6.1 a). Vidare kan enskilda huvudmän även tillämpa den rättsliga grunden i artikel 6.1 f (intresseavvägning). Beträffande behandling av känsliga personuppgifter bedömer utredningen att kommuner, landsting och staten, även som huvudmän inom skolväsendet, kan finna stöd för viss sådan behandling i Dataskyddsutredningens förslag till bestämmelser i 3 kap. 3 lagen (2018:xx) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Enligt utredningens bedömning har enskilda huvudmän när de anordnar utbildning enligt skollagen samma behov av att kunna behandla känsliga personuppgifter som offentliga huvudmän. De enskilda huvudmännen kan dock inte grunda sådan behandling i dataskyddslagen annat än i den mån offentlighetsprincipen och sekretesslagstiftningen enligt författning gäller i ett organs verksamhet. I dessa fall möjliggör 3 kap. 3 2 dataskyddslagen sådan behandling av känsliga personuppgifter som är oundviklig i organets verksamhet som en direkt följd av bland annat tryckfrihetsförordningens och offentlighets- och sekretesslagens (2009:400) bestämmelser om allmänna handlingar och diarieföring. Vissa skolformer och anordnare av vissa utbildningar har dessutom ett behov av att kunna behandla känsliga personuppgifter mer systematiskt, bl.a. grundsärskolan och sameskolan, som det inte finns stöd för i dataskyddslagen. Detsamma gäller för kommunerna när de ska utföra vissa uppgifter som de är ålagda enligt skollagen. Utredningen bedömer därför att det finns behov av att möjliggöra sådan behandling. För tydlighets skull föreslår utredningen att det i ett nytt 28 a kapitel i skollagen ska införas bl.a. motsvarande bestämmelser som Dataskyddsutredningen föreslår i 3 kap. 3 och 4 dataskyddslagen. Kapitlet ska tillämpas vid den personuppgiftsbehandling som både offentliga och enskilda huvudmän, hemkommunen och aktörer enligt 24 och 25 kap. skollagen utför. 19

Sammanfattning SOU 2017:49 Vidare föreslås att huvudmän för vissa skolformer, bl.a. grundsärskolan och specialskolan, och för vissa utbildningar, bl.a. Rh-anpassad utbildning och fristående grundskola som begränsats till att avse elever som är i behov av särskilt stöd, under vissa förutsättningar får behandla uppgifter om hälsa. Sameskolan föreslås få behandla uppgifter om etniskt ursprung under vissa förutsättningar. Hemkommunen föreslås få behandla uppgifter om hälsa i vissa fall och uppgift om hälsa och etniskt ursprung när det är nödvändigt för att fullgöra skyldighet enligt 7 kap. 21 skollagen. För att leva upp till dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen föreslår utredningen att det ska införas bestämmelser om förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter. Huvudmän för de skolformer och utbildningar som föreslås få behandla uppgifter om hälsa respektive etniskt ursprung under vissa förutsättningar undantas dock från förbudet för just sökbegrepp som avslöjar hälsa respektive etniskt ursprung. Detsamma gäller för hemkommunen i de fall den getts särskild möjlighet att behandla vissa känsliga personuppgifter. Regeringen föreslås få meddela föreskrifter om begränsningar av möjligheten att använda de sökbegrepp som tillåts. Vidare föreslås regeringen få meddela föreskrifter om ytterligare undantag från förbudet i artikel 9.1 i dataskyddsförordningen om det behövs med hänsyn till det viktiga allmänna intresset att anordna utbildning enligt skollagen eller föreskrifter som har meddelats med stöd av skollagen. Förslaget till dataskyddslag innehåller en upplysningsbestämmelse som tydliggör att förbudet i artikel 10 mot behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel inte gäller för myndigheter. Utredningen bedömer att i förskolor, skolor och vuxenutbildningsenheter vars huvudmän är staten, en kommun eller ett landsting kommer personuppgifter som rör fällande domar i brottmål och liknande i de enskilda fall sådan behandling bedöms nödvändig kunna behandlas med stöd av dataskyddsförordningen. Utredningen bedömer att det för fristående skolor finns skäl att möjliggöra behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott eller straffprocessuella tvångsmedel i elevhälsan i löpande text om det är absolut nöd- 20

SOU 2017:49 Sammanfattning vändigt för ändamålet med behandlingen och i skriftlig dokumentation som ska föras enligt 5 kap. 24 skollagen om det är absolut nödvändigt för ändamålet med behandlingen. Sammanfattningsvis bedömer utredningen att en ändamålsenlig personuppgiftsbehandling, som samtidigt skyddar den enskildes frioch rättigheter, för huvudmän inom skolväsendet, hemkommunen och aktörer enligt 24 och 25 kap. skollagen kan ske med stöd av bestämmelserna i dataskyddsförordningen och dataskyddslagen samt de förslag som utredningen lämnar. Utredningen anser att det enligt bestämmelserna i 2 kap. 6 andra stycket och 2 kap. 20 första stycket 2 regeringsformen inte krävs en särskild lag för den personuppgiftsbehandling som utförs av huvudmännen inom skolväsendet. Utredningen anser att det inte heller finns något annat skäl för ytterligare reglering än den som utredningen föreslår. Utredningen anser att goda skäl talar för att det ska tas fram en uppförandekod för skolväsendets personuppgiftsbehandling. Utredningen föreslår därför att regeringen ger lämplig myndighet i uppdrag att vidta åtgärder för att initiera och stödja utarbetandet av en uppförandekod för skolväsendet. Universitets- och högskolesektorn Behov av reglering Utredningen bedömer att det för statliga högskolor och enskilda utbildningsanordnare med examenstillstånd enligt lagen (1993:792) om tillstånd att utfärda vissa examina finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva högskoleutbildning. För sådan personuppgiftsbehandling som är nödvändig för utförandet av denna uppgift är den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen tillämplig. Därutöver kan lärosätena i viss utsträckning samtidigt använda sig av de rättsliga grunderna i artikel 6.1 c (rättslig förpliktelse) och andra ledet i 6.1 e (myndighetsutövning). Lärosätena kan i viss utsträckning även använda sig av samtycke som rättslig grund (artikel 6.1 a). Enskilda utbildningsanordnare kan dessutom tillämpa den rättsliga grunden i artikel 6.1 f (intresseavvägning). Beträffande behandling av känsliga personuppgifter bedömer utredningen att statliga högskolor kan finna stöd för sådan behand- 21

Sammanfattning SOU 2017:49 ling i Dataskyddsutredningens förslag till bestämmelser i 3 kap. 3 dataskyddslagen. Dataskyddsutredningens förslag, med undantag för behandling av känsliga personuppgifter med anledning av offentlighetsprincipen, gäller endast för myndigheter. Eftersom utredningen bedömer att enskilda utbildningsanordnare har samma behov som statliga högskolor att behandla känsliga personuppgifter föreslår utredningen att det i lagen om tillstånd att utfärda vissa examina ska införas bestämmelser med motsvarande innebörd som de som Dataskyddsutredningen föreslår. Vidare bedömer utredningen att enskilda utbildningsanordnare, i ärenden om avskiljande av studenter från utbildning, har samma behov som statliga högskolor att behandla personuppgifter som rör fällande domar i brottmål. Utredningen föreslår därför en bestämmelse som möjliggör sådan behandling, eftersom dataskyddsförordningen och dataskyddslagen endast medger att statliga högskolor behandlar sådana uppgifter. För att leva upp till dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen föreslår utredningen att det ska införas en bestämmelse om förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter och uppgifter som rör fällande domar i brottmål. Sammanfattningsvis bedömer utredningen att en ändamålsenlig personuppgiftsbehandling, som samtidigt skyddar den enskildes frioch rättigheter, för lärosätenas del kan ske med stöd av bestämmelserna i dataskyddsförordningen och dataskyddslagen samt de förslag som utredningen lämnar. Utredningen anser inte att det enligt bestämmelserna i 2 kap. 6 andra stycket och 2 kap. 20 första stycket 2 regeringsformen krävs en särskild lag för statliga högskolors personuppgiftsbehandling. Utredningen anser att det inte heller finns något annat skäl för ytterligare reglering än den som utredningen föreslår. Förordningen om redovisning av studier m.m. vid universitet och högskolor Utredningen bedömer att bestämmelserna i förordningen om redovisning av studier m.m. vid universitet och högskolor utgör i enlighet med artikel 6.1 c i dataskyddsförordningen fastställda rättsliga för- 22

SOU 2017:49 Sammanfattning pliktelser för statliga högskolor att föra ett studieregister och för Statistiska centralbyrån att föra ett universitets- och högskoleregister samt ett register för sammanställning av statistik över högskolornas personal. Förandet av nämnda register är dessutom fastställda uppgifter av allmänt intresse i enlighet med första ledet i artikel 6.1 e. För Universitets- och högskolerådets (UHR) del finns det genom bestämmelserna i förordningen om redovisning av studier m.m. vid universitet och högskolor en fastställd uppgift av allmänt intresse att föra ett antagningsregister. Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 c och e. Förordningen om redovisning av studier m.m. vid universitet och högskolor är därmed i sig förenlig med dataskyddsförordningen. För att anpassa förordningens bestämmelser till dataskyddsförordningen föreslår utredningen att hänvisningen till personuppgiftslagen i 1 kap. 1 andra stycket ska utgå och ersättas med nya bestämmelser i en ny paragraf. I den nya paragrafen, 1 a, ska det upplysas om att förordningen kompletterar dataskyddsförordningen. Därtill ska förhållandet till dataskyddslagen regleras. Utredningen föreslår vidare att bestämmelserna om information, rättelse och skadestånd samt intern kontroll över studieregistret som finns i 1 kap. 4 och 5 samt 2 kap. 1 tredje stycket ska upphävas, eftersom det finns direkt tillämpliga bestämmelser i dataskyddsförordningen med motsvarande innehåll. Bestämmelsen om överklagande i 1 kap. 6 föreslår utredningen också ska upphävas, eftersom det finns bestämmelser om överklagande i dataskyddslagen. Avslutningsvis föreslår utredningen att hänvisningarna till 13 PUL, som finns i 2 kap. 5 a och 4 kap. 3, ska ändras på så sätt att de hänvisar till artikel 9.1 i dataskyddsförordningen i stället. I artikel 9.1 finns motsvarande förbud mot behandling av känsliga personuppgifter som finns i 13 PUL. Utredningen lyfter även fram att den tekniska utvecklingen och den praktiska hanteringen av personuppgifter när det gäller redovisning m.m. vid universitet och högskolor har gjort att det finns ett behov av en omfattande översyn av förordningen. En sådan översyn som utredningen bedömer är påkallad krävs dock inte för att anpassa 23

Sammanfattning SOU 2017:49 förordningen till dataskyddsförordningen och den reglering som Dataskyddsutredningen har föreslagit. Utredningen lämnar därför inga förslag i dessa delar. Yrkeshögskolan och andra eftergymnasiala utbildningar Behov av reglering Utredningen bedömer att det för anordnare av utbildningar inom yrkeshögskolan och sådana utbildningar som avses i förordningen (2013:871) om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns en i svensk rätt fastställd uppgift av allmänt intresse att anordna och bedriva sådana utbildningar. För sådan personuppgiftsbehandling som är nödvändig för utförandet av denna uppgift är den rättsliga grunden i första ledet i artikel 6.1 e i dataskyddsförordningen tillämplig. Därutöver kan utbildningsanordnarna i viss utsträckning samtidigt använda sig av de rättsliga grunderna i artikel 6.1 c (rättslig förpliktelse) och, beträffande utbildningsanordnarna inom yrkeshögskolan, andra ledet i artikel 6.1 e (myndighetsutövning). Utbildningsanordnarna kan i viss utsträckning även använda sig av samtycke som rättslig grund (artikel 6.1 a). Enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konstoch kulturutbildningar och vissa andra utbildningar kan dessutom tillämpa den rättsliga grunden i artikel 6.1 f (intresseavvägning). Beträffande behandling av känsliga personuppgifter inom yrkeshögskolan bedömer utredningen att offentliga utbildningsanordnare kan finna stöd för sådan behandling i Dataskyddsutredningens förslag till bestämmelser i 3 kap. 3 dataskyddslagen. För tydlighets skull föreslår utredningen dock att det i lagen (2009:128) om yrkeshögskolan, som gäller för både offentliga och enskilda utbildningsanordnare, ska införas motsvarande bestämmelser som Dataskyddsutredningen föreslår och att dessa ska gälla för både offentliga och enskilda utbildningsanordnare, eftersom dessa har samma behov av att behandla känsliga personuppgifter. Ett undantag finns dock, enskilda utbildningsanordnare inom yrkeshögskolan omfattas inte av offentlighetsprincipen. Utredningens förslag i denna del omfattar således endast offentliga utbildningsanordnare. 24

SOU 2017:49 Sammanfattning Utredningen föreslår att motsvarande bestämmelser om behandling av känsliga personuppgifter också ska föras in i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. De som anordnar sådana utbildningar har samma behov som anordnare av utbildningar inom yrkeshögskolan att behandla känsliga personuppgifter. Eftersom de som anordnar utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar inte omfattas av offentlighetsprincipen ska det dock inte föras in någon bestämmelse som möjliggör behandling av känsliga personuppgifter som krävs enligt lag. Vidare bedömer utredningen att det för enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar finns skäl att möjliggöra behandling av personuppgifter som rör fällande domar i brottmål i ärenden om avskiljande av studerande från utbildning. Utredningen föreslår därför sådana bestämmelser, eftersom dataskyddsförordningen och dataskyddslagen endast medger att offentliga utbildningsanordnare inom yrkeshögskolan behandlar sådana uppgifter. För att leva upp till dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen föreslår utredningen att det i lagen om yrkeshögskolan och förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar ska införas bestämmelser om förbud mot att använda sökbegrepp som avslöjar känsliga personuppgifter. Motsvarande sökförbud ska även gälla för personuppgifter som rör fällande domar i brottmål i fråga om enskilda utbildningsanordnare inom yrkeshögskolan och anordnare av sådana utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar. Sammanfattningsvis bedömer utredningen att en ändamålsenlig personuppgiftsbehandling, som samtidigt skyddar den enskildes frioch rättigheter, för utbildningsanordnarnas del kan ske med stöd av bestämmelserna i dataskyddsförordningen och dataskyddslagen samt de förslag som utredningen lämnar. Utredningen anser inte att det enligt bestämmelserna i 2 kap. 6 andra stycket och 2 kap. 20 första stycket 2 regeringsformen krävs en särskild lag för den personuppgiftsbehandling som utförs av de offentliga utbildningsanordnarna inom yrkeshögskolan. Utredningen anser att det inte heller 25

Sammanfattning SOU 2017:49 finns något annat skäl för ytterligare reglering än den som utredningen föreslår. MYH:s register Utredningen bedömer att det för MYH finns en i svensk rätt fastställd rättslig förpliktelse och uppgift av allmänt intresse att svara för ett register över uppgifter om de studerande i utbildningarna inom yrkeshögskolan och i de utbildningar inom yrkeshögskolan som bedrivs som uppdragsutbildningar. Utredningen bedömer att motsvarande gäller för det register över uppgifter om de studerande i utbildningarna enligt förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar som MYH också ska svara för. MYH kan därmed tillämpa de rättsliga grunderna i artikel 6.1 c och första ledet i artikel 6.1 e i dataskyddsförordningen för sådan personuppgiftsbehandling som är nödvändig vid förandet av registren. Utredningen bedömer att det inte finns något ytterligare regleringsbehov. Vidare bedömer utredningen att utbildningsanordnarna inom yrkeshögskolan kan tillämpa samma rättsliga grunder när de lämnar uppgifter om de studerande till MYH. Något ytterligare regleringsbehov finns därmed inte heller för deras del. För att säkerställa att anordnarna av utbildningar som avses i förordningen om stöd för konst- och kulturutbildningar och vissa andra utbildningar har en rättslig grund att tillämpa när de ska lämna uppgifter till MYH, föreslår utredningen att MYH ska bemyndigas att meddela föreskrifter om uppgiftslämningen på motsvarande sätt som i 2 kap. 17 förordningen (2009:130) om yrkeshögskolan. Folkbildning Folkhögskolorna Utredningen bedömer att folkhögskolorna, som stöd för sin personuppgiftsbehandling när dataskyddsförordningen ska börja tillämpas, kan använda främst samtycke, dvs. artikel 6.1 a i dataskyddsförordningen, som rättslig grund för sin behandling av personuppgifter. Folkhögskolor som anordnar utbildning motsvarande kommunal 26

SOU 2017:49 Sammanfattning vuxenutbildning i svenska för invandrare kan behandla personuppgifter om studerande i den verksamheten även med stöd av första ledet i artikel 6.1 e, dvs. uppgift av allmänt intresse. Känsliga personuppgifter kan behandlas med stöd av samtycke enligt artikel 9.2 a. Utredningen bedömer att nämnda rättsliga grunder är tillräckliga för att nödvändig behandling av personuppgifter inom folkhögskolorna ska kunna ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas. Något behov av ytterligare reglering finns inte. Studieförbunden Utredningen bedömer att studieförbunden, som stöd för sin personuppgiftsbehandling när dataskyddsförordningen ska börja tillämpas, kan använda främst samtycke, dvs. artikel 6.1 a i dataskyddsförordningen, som rättslig grund för sin behandling av personuppgifter. Känsliga personuppgifter kan behandlas med stöd av samtycke enligt artikel 9.2 a. Utredningen bedömer att den rättsliga grunden samtycke är tillräcklig för att nödvändig behandling av personuppgifter inom studieförbunden ska kunna ske på ett ändamålsenligt sätt samtidigt som enskildas fri- och rättigheter skyddas. Något behov av ytterligare reglering finns inte. Register över deltagare i studieförbundens verksamhet Utredningen bedömer att Folkbildningsrådet och studieförbunden kan använda samtycke, dvs. artikel 6.1 a i dataskyddsförordningen, som rättslig grund för behandling av personuppgifter i Folkbildningsrådets centrala uppgiftssamlingar över deltagare i studiecirkel och annan folkbildningsverksamhet när dataskyddsförordningen ska börja tillämpas. Utredningen anser att varken 2 kap. 6 andra stycket regeringsformen eller något annat skäl fordrar att det införs någon särskild reglering. 27

Sammanfattning SOU 2017:49 CSN:s studiestödsverksamhet Utredningen bedömer att Centrala studiestödsnämnden (CSN) har en i svensk rätt fastställd uppgift av allmänt intresse att bedriva studiestödsverksamhet. Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket i dataskyddsförordningen är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 e. Studiestödsdatalagen med tillhörande förordning är därmed i sig förenliga med dataskyddsförordningen. För att anpassa studiestödsdatalagens bestämmelser till dataskyddsförordningen föreslår utredningen att hänvisningen till personuppgiftslagen i 2 ska ersättas med en upplysningsbestämmelse om dataskyddsförordningen samt, i andra stycket, en reglering om förhållandet till dataskyddslagen. Det nuvarande andra stycket, som reglerar studiestödsdatalagens förhållande till lagen (2001:99) om den officiella statistiken, ska flyttas till ett nytt tredje stycke. Bestämmelserna i 6 och 8, vilka reglerar begränsningar i rätten att behandla personuppgifter respektive användningen av sökbegrepp, föreslår utredningen ska ändras på så sätt att de ska omfatta samtliga kategorier av personuppgifter som räknas upp i artikel 9.1 i dataskyddsförordningen. Bestämmelsen i 7 tredje stycket om återkallande av samtycke och 15, vilken reglerar rättelse och skadestånd, ska upphävas, eftersom det i dessa delar finns direkt tillämpliga bestämmelser i dataskyddsförordningen. Avslutningsvis ska bestämmelserna i 16 tredje stycket och 16 studiestödsdataförordningen ändras på så sätt att formuleringen historiska, statistiska eller vetenskapliga ändamål ändras till arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Betygsdatabasen BEDA Utredningen föreslår att UHR:s uppgift att ansvara för en nationell databas för betygsuppgifter från gymnasieskolan och den kommunala vuxenutbildningen på gymnasial nivå, betygsdatabasen BEDA, ska fastställas genom att den förs in i en bestämmelse i förordningen (2012:811) med instruktion för Universitets- och hög- 28

SOU 2017:49 Sammanfattning skolerådet. Såväl ändamålet med registret att användas vid antagning av studenter till studier vid universitet och högskolor som det statistiska ändamål uppgifterna i registret används för ska fastställas i bestämmelsen. Utredningen bedömer vidare att Statens skolverk (Skolverket) behöver komplettera sina föreskrifter (SKOLFS 2011:142) om uppgiftsinsamling från huvudmännen inom skolväsendet m.m. för att huvudmännen som bedriver kommunal vuxenutbildning på gymnasial nivå ska ha en rättslig grund att tillämpa när de fullgör sin skyldighet att lämna uppgifter om gymnasieexamen genom att lämna uppgifterna till UHR. Om utredningens förslag genomförs och om Skolverket kompletterar sina föreskrifter bedömer utredningen att ändamålsenliga behandlingar i BEDA, som samtidigt skyddar den enskildes fri- och rättigheter, kan göras även när dataskyddsförordningen ska börja tillämpas. Utredningen anser att det inte finns något ytterligare regleringsbehov med anledning av regeringsformens bestämmelser. Utredningen anser inte heller att det finns anledning att med stöd av artikel 89.2 i dataskyddsförordningen föreskriva om undantag från den registrerades rättigheter som avses i artiklarna 15, 16, 18 och 21, dvs. rätt till information om personuppgifter som behandlas, rätt att få felaktiga personuppgifter rättade, rätt att kräva begränsning av behandling och rätt att göra invändningar mot behandling. Lärar- och förskollärarregistret Utredningen bedömer att bestämmelserna i förordningen om läraroch förskollärarregister utgör i enlighet med artikel 6.1 c i dataskyddsförordningen en fastställd rättslig förpliktelse för Skolverket att föra ett register över legitimerade och tidigare legitimerade lärare och förskollärare. Förandet av registret är dessutom en för Skolverket fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e. Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 c 29

Sammanfattning SOU 2017:49 och e. Förordningen om lärar- och förskollärarregister är därmed i sig förenlig med dataskyddsförordningen. För att anpassa förordningens bestämmelser till dataskyddsförordningen föreslår utredningen att hänvisningen till personuppgiftslagen i 2 ska utgå och ersättas med en upplysning om att förordningen kompletterar dataskyddsförordningen. Därtill ska förhållandet till dataskyddslagen regleras. Utredningen föreslår vidare att det i ett nytt tredje stycke i 6 ska finnas en hänvisning till artikel 5.1 b i dataskyddsförordningen. Hänvisningen ersätter den nuvarande hänvisningen till finalitetsprincipen i 9 PUL som finns i 6 andra stycket. Bestämmelserna om information i 10 föreslås ändras på så sätt att de endast reglerar den informationsskyldighet som gäller utöver den informationsskyldighet som kommer att gälla enligt dataskyddsförordningen. Slutligen föreslår utredningen att bestämmelserna om rättelse och skadestånd i 11 ska upphävas, eftersom det finns motsvarande bestämmelser i dataskyddsförordningen som är direkt tillämpliga. Kommunernas register över ungdomar som de har aktivitetsansvar för Utredningen bedömer att det i svensk rätt finns en i enlighet med artikel 6.1 c i dataskyddsförordningen fastställd rättslig förpliktelse för kommunerna att föra ett register över de ungdomar som omfattas av kommunens aktivitetsansvar enligt 29 kap. 9 skollagen. Förandet av registren är dessutom en för kommunerna fastställd uppgift av allmänt intresse i enlighet med första ledet i artikel 6.1 e. Vidare konstaterar utredningen att det enligt artikel 6.2 och 6.3 andra stycket är tillåtet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen med hänsyn till behandling för att efterleva artikel 6.1 c och e. Förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar är därmed i sig förenlig med dataskyddsförordningen. För att anpassa förordningens bestämmelser till dataskyddsförordningen föreslår utredningen att hänvisningen till personuppgiftslagen i 2 ska utgå och ersättas med en upplysning om att förordningen kompletterar dataskyddsförordningen. Därtill ska förhållandet till dataskyddslagen regleras. Vidare föreslår utredningen 30

SOU 2017:49 Sammanfattning att bestämmelsen i 5 om förbud mot att behandla känsliga personuppgifter ska hänvisa till artikel 9.1 i stället för 13 PUL. Bestämmelsen i 5 om förbud mot att behandla uppgifter om lagöverträdelser m.m. ska ändras så att den när dataskyddsförordningen och dataskyddslagen ska börja tillämpas kommer att ha samma materiella innebörd som i dagsläget. Slutligen föreslår utredningen att bestämmelserna om rättelse och skadestånd i 6 ska upphävas, eftersom det finns motsvarande bestämmelser i dataskyddsförordningen som är direkt tillämpliga. Övriga myndigheter med anknytning till utbildningsområdet Direktiven anger inte att det ska göras en analys av om det behöver införas kompletterande regleringar för personuppgiftsbehandlingen hos sådana myndigheter vars verksamhet anknyter till utbildningsområdet t.ex. Statens skolinspektion, Skolverket och UHR. Enligt utredningens uppfattning omfattas därför inte den personuppgiftsbehandling som sker vid dessa myndigheter av utredningens uppdrag, annat än i de fall det särskilt har angivits att utredningen ska analysera behovet av reglering av särskilda register som förs av en myndighet eller behovet av anpassningar av författningar som styr en myndighets personuppgiftsbehandling. Då det finns ett intresse av vägledning har utredningen dock funnit anledning att göra en generell och övergripande analys av myndigheternas möjligheter att behandla personuppgifter sett i ljuset av dataskyddsförordningen och den av Dataskyddsutredningen föreslagna dataskyddslagen. Utredningen bedömer att statliga och kommunala myndigheters verksamhet inom utbildningsområdet i allt väsentligt är en uppgift av allmänt intresse. Denna verksamhet framgår normalt av uppdrag och åligganden i författningar, regeringsbeslut och kommunala reglementen, antagna i enlighet med grundlagens bestämmelser. Uppgiften av allmänt intresse är fastställd genom dessa författningar, beslut och kommunala reglementen. Myndigheterna kan därigenom grunda nödvändig behandling av personuppgifter på första ledet i artikel 6.1 e i dataskyddsförordningen. Utredningen konstaterar dock att det ankommer på myndigheterna att själva gå igenom all personuppgiftsbehandling som sker 31

Sammanfattning SOU 2017:49 inom myndigheten och säkerställa att den har stöd i och är förenlig med dataskyddsförordningens och dataskyddslagens bestämmelser. Konsekvenser Utredningen bedömer att utredningens förslag till regleringar inte kommer att innebära någon kostnadsökning för stat, kommuner, landsting och enskilda huvudmän som tillhandahåller och anordnar utbildningsverksamhet. Vidare bedömer utredningen att förslagen är neutrala rörande integritetsskyddet och att förslagen inte förväntas få några andra konsekvenser. Ikraftträdande och övergångsbestämmelser Utredningen föreslår att den nya förordningen förordningen om sökbegränsningar vid personuppgiftsbehandling i vissa utbildningsformer och i hemkommunen och ändringsförfattningarna ska träda i kraft den 25 maj 2018. Vidare föreslår utredningen tre övergångsbestämmelser för studiestödsdatalagen, förordningen om lärar- och förskollärarregister, förordningen om register och dokumentation vid fullgörandet av kommunernas aktivitetsansvar för ungdomar samt förordningen om redovisning av studier m.m. vid universitet och högskolor. Enligt den första ska äldre föreskrifter fortfarande gälla för ärenden hos Datainspektionen eller aktuell myndighet som har inletts men inte avgjorts före ikraftträdandet och som avser behandlingar som utförts före ikraftträdandet. Den andra övergångsbestämmelsen ska ange att äldre föreskrifter fortfarande gäller för överklagande av beslut som avser behandlingar som utförts före ikraftträdandet. Enligt den sista övergångsbestämmelsen ska äldre föreskrifter om skadestånd fortfarande gälla för skada som har orsakats före ikraftträdandet. 32

Särskilt yttrande av experten Ulrika Harnesk Enligt kommittédirektivet (dir. 2016:63) är syftet med utredningen att den kompletterande lagstiftningen ska möjliggöra en ändamålsenlig behandling av personuppgifter inom utbildningsområdet samtidigt som den skyddar den enskildes fri- och rättigheter. Med anledning av vad som presenteras i betänkandet anser jag att det finns skäl att befara att den rättsliga reglering av personuppgiftsbehandlingen som kommer att tillämpas på området i vissa fall riskerar att inte uppnå dessa syften. Jag bedömer för det första att det finns en risk för att behandling av personuppgifter inom delar av skolan, behandling som det kan finnas ett väsentligt behov av och som det ur ett dataskyddsperspektiv inte finns anledning att förhindra, inte kommer att ha det rättsliga stöd som krävs enligt dataskyddsförordningen och därigenom bli olaglig. För det andra anser jag att den behandling av personuppgifter som i dag utförs inom skolans område i många fall måste anses utgöra ett sådant betydande intrång i en enskilds personliga integritet som avses i 2 kap. 6 2 st. regeringsformen. Begränsningar får då göras endast i lag och efter att ha vägt behovet av behandlingen av personuppgifter mot det intrång den innebär för den enskilde eleven. Utredningen föreslår dock inte någon reglering i lag som uppfyller regeringsformens krav. 507

Särskilt yttrande SOU 2017:49 Rättslig grund För att vara laglig måste en behandling av uppgifter uppfylla åtminstone ett av villkoren i dataskyddsförordningens artikel 6.1. Finner den personuppgiftsansvarige inget stöd i någon av dessa punkter kan behandlingen inte utföras. I betänkandet anges att den som vill behandla personuppgifter inom utbildningsområdet i allmänhet kommer att kunna använda sig av ena villkoret i artikel 6.1 e behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Att anordnande och bedrivande av utbildning är att anse som en uppgift av allmänt intresse finns ingen anledning att ifrågasätta. Redan i nuvarande praxis anses personuppgiftsbehandling inom området kunna utföras med stöd av personuppgiftslagens 10 d) behandlingen är nödvändig för att en arbetsuppgift av allmänt intresse ska kunna utföras. Den rättsliga grund som i huvudsak kommer att bli aktuell vid behandling av personuppgifter inom utbildningsområdet är således likalydande såväl i nuvarande som i kommande dataskyddsreglering. En avgörande nyhet i dataskyddsförordningen är emellertid att det till skillnad från i dataskyddsdirektivet ställs krav på de rättsliga grunderna (artikel 6.3). För att en behandling av personuppgifter ska vara laglig krävs inte enbart att den är nödvändig för att utföra en uppgift av allmänt intresse, denna uppgift måste dessutom vara fastställd i nationell rätt. Den nationella rätten ska vidare uppfylla ett mål av allmänt intresse och vara proportionerlig mot det legitima mål som eftersträvas. I skäl 41 anges även att en rättslig grund bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den. Genom denna förändring ställs således nya och betydande krav på hur den rättsliga grunden ska vara utformad för att den ska kunna läggas till grund för behandling av personuppgifter. Utredningen gör bedömningen att för den skollagsreglerade utbildningsverksamheten finns det inget behov av en särskild reglering för att verksamheternas huvudmän ska kunna tillämpa den rättsliga grunden i artikel 6.1 e. Verksamhetens uppdrag och åligganden framgår av skollagen och tillhörande föreskrifter. De åtgärder som huvudmännen vidtar i syfte att utföra dessa uppdrag och åligganden har i sig en legal grund som offentliggjorts genom tydliga, precisa och förutsägbara regler. Uppgiften av allmänt intresse, det vill säga utbildning och annan pedagogisk verksamhet, är således enligt utredningens 508